Hameçonnage : la sensibilisation des utilisateurs est vouée à l’échec !
Face à la multiplication des actes de phishing relatés de par le monde, des campagnes de sensibilisation des utilisateurs de tous types de plateforme (Windows, Linux, MacOS, etc.) sont menées dans des entreprises et d’autres organisations. Par rapport à cela, Karla Burnette, Security Enginieer chez Stripe considère que cette solution est déjà un échec dès ses débuts. Ci-dessous les explications.
Le phishing nécessite encore une action humaine
Une grande partie des cyberattaques recensées actuellement ont toutes un point commun : le facteur humain. D’après Proofpoint, sur le second semestre de l’année 2016, il a été établi que l’action humaine était au centre du succès de la majorité des attaques informatiques inventoriées durant cette période. En effet, 99 % des escroqueries à portée financière, réalisées par courriel, requéraient une intervention humaine, notamment un clic initiant le téléchargement d’un logiciel malveillant.
Et au vu des faits actuels, il en sera aussi de même pour l’hameçonnage par des mails illicites redirigeant leur destinataire vers des sites frauduleux. Dans la plupart des cas, 90 % de ces courriers électroniques malicieux sont munis de plusieurs liens externes. Ces derniers réorientent les utilisateurs vers des pages permettant de voler leur identifiant plutôt que de télécharger un malware. En ce qui concerne les rançongiciels, la compagnie américaine de sécurité Internet Malwarebyte évalue à 22 % le taux de cyberattaques en Europe dont le vecteur est l’e-mail.
Le cerveau ne dispose que de peu de temps
Lors de la dernière conférence « Black Hat » de Las Vegas, Karla Burnett a fait un bref exposé de ses recherches sur la sécurité informatique en parlant du livre de Daniel Kahneman intitulé « Penser, vite et lentement ». Dans cet ouvrage, la Security Engineer de Stripe voit deux modes de pensée bien différents, exécutés par le cerveau. Le premier est rapide, instinctif et parfois trop confiant. Le deuxième est lent, analytique et souvent dubitatif.
Pour Karla Burnette, il est quasiment impossible, même pour les utilisateurs mieux formés, de différencier un mail normal d’un autre qui contient un piège. Les capacités techniques ne sont pas des facteurs influant la décision lors de la réception d’un courriel malicieux. Tout le monde peut être hameçonné. Alors, quelle est la raison ?
Le vrai problème, notamment pour les utilisateurs recevant de nombreux e-mails à longueur de journée, est le manque de temps pour étudier en détail les messages. Ce fait a une relation avec le premier mode de pensée décrit par Daniel Kahneman. Chaque heure, chaque minute compte et le cerveau ne pense plus à rien à part lire directement les mails. Qui plus est, les campagnes de formation anti-phishing ne répondent pas réellement aux besoins selon Karla Burnette.
Elle considère ainsi que la formation contre le hameçonnage actuellement mise en place doit uniquement confirmer aux utilisateurs de lire simplement les URL ou de ne pas cliquer sur les liens. Cette pratique fait appel au deuxième mode de pensée dans le livre de Daniel Kahneman. Et elle estime qu’il est important de se référer sur ce modèle pour l’entraînement au phishing.